是的,《加州消费者隐私法案》真的要实施了。随着 2020 年 1 月 1 日《加州消费者隐私法》生效日期的临近,许多企业开始意识到,《加州消费者隐私法》不会消失。

事实上,情况恰恰相反:CCPA--以及它对受保企业规定的义务--变得非常非常真实。

一年多来,企业都知道 CCPA 赋予消费者了解企业收集了他们哪些个人信息以及如何使用这些信息的权利。CCPA 还赋予消费者选择不向第三方出售其个人信息的权利,并赋予消费者要求企业删除其个人信息的权利。CCPA 涵盖的企业也知道,CCPA 将要求它们采取一些措施来承认这些新权利。

但具体是什么呢?加利福尼亚州总检察长办公室于 2019 年 10 月 10 日发布了CCPA 实施条例草案(可在此处查阅),试图回答这个问题。(法规草案的公开征求意见期将于 2019 年 12 月 6 日结束)。

虽然法规草案并不能解决所有问题,但确实为企业的合规义务提供了一些具体指导。换句话说,它们是一本 "如何 "建立合规计划的手册。

电子书:数据隐私:为什么数据隐私现在如此重要?为什么法律团队应该关注?

透明度义务: 必须发出通知

CCPA 要求企业告知消费者企业收集的信息、企业使用信息的方式以及企业是否与他人共享或出售信息。CCPA 还要求企业告知消费者 CCPA 权利的存在以及如何行使这些权利。CCPA 通过要求企业向消费者提供若干书面通知 来实现这些目标:

  • 尽管通知的目的各不相同,但都必须使用简单明了的语言,避免使用技术或法律术语。
  • 它们的格式也必须能吸引消费者的注意力,并使通知具有可读性,包括在较小的屏幕上。
  • 通知必须使用企业在正常经营过程中向消费者提供合同、免责声明、销售公告和其他信息时所使用的语言。
  • 这些通知必须便于残障消费者访问,或至少提供残障消费者如何以其他格式访问通知的信息。(网页内容可访问性指南 》[WCAG] 2.0 是确定网站可访问性的公认标准)。

您的企业是否受 CCPA 管辖?

并非所有组织都必须遵守 CCPA。CCPA 适用于在加州开展业务的营利性组织,这些组织收集消费者的个人信息,并决定如何使用这些信息,而且符合以下三个门槛之一:(1) 年总收入超过 2500 万美元;(2) 每年单独或联合购买、接收、出售或出于商业目的共享 5 万或以上消费者的个人信息;或 (3) 年收入的 50%或以上来自出售消费者的个人信息。

CCPA 规定的三项通知

CCPA 要求企业向消费者提供三份通知:(1) 收集个人信息时的通知;(2) 选择不出售个人信息的权利通知;(3) 财务奖励通知。

1 - 收集个人信息时的通知

收集时通知的目的是告知消费者企业将收集的个人信息类别以及信息的使用目的。收集时通知必须在企业收集个人信息时或之前发给消费者。

收款通知必须包含以下内容

(1) 拟收集的消费者个人信息类别清单;

(2) 对于每类个人信息,将用于何种业务或商业目的;

(3) 如果企业出售个人信息,应提供标题为 "请勿出售我的个人信息 "的链接,或者在离线通知中提供可找到 "请勿出售 "链接的网址;以及

(4) 企业隐私政策链接。

收集信息时的通知》必须在收集任何个人信息之前,在消费者可以看到或接触到的地方发布。当企业在线收集消费者个人信息时,可在企业网站主页或移动应用程序下载页面上,或在所有收集个人信息的网页上,显著张贴《收集时通知》的链接。

当企业在线下收集消费者个人信息时,可在收集信息的印刷表格上印制通知,在收集信息时向消费者提供纸质版通知,或张贴醒目标志,引导消费者访问可找到通知的网址。

CCPA 网络安全 GRC 标志

收集信息时的通知》重要性不言而喻,因为 CCPA 禁止企业收集《收集信息时的通知》中未披露的个人信息类别。如果企业打算收集额外类别的个人信息,CCPA 要求企业在收集额外信息时或之前提供一份新的"收集时通知"。

如果企业未能按照 CCPA 的要求在收集信息时向消费者发出通知,则禁止企业收集消费者的个人信息。重要的是,正如我们在本系列的 上一篇文章中所讨论的,求职者、雇员、独立承包商和临时工都有权获得 "收集时通知"。

2 - 关于有权选择退出出售个人信息的通知

选择不出售个人信息权利通知的目的是告知消费者,他们有权指示出售(或今后可能出售)其个人信息的企业停止出售,并在今后不再出售。

选择退出权利通知必须包含以下内容

(1) 说明消费者有权选择不出售其个人信息;

(2) 消费者可在线提交退出申请的网络表格,或如果企业没有运营网站,消费者可提交退出申请的离线方法;

(3) 有关消费者提交退出申请的任何其他方法的说明;

(4) 当消费者使用授权代理人行使其退出权时所需的任何证明;以及

(5) 企业隐私政策的链接或 URL,或消费者可以访问隐私政策的网页。

出售加州人个人信息的受保企业必须在其互联网主页上提供一个清晰醒目的链接,标题为 "不要出售我的个人信息",使消费者能够选择不出售其个人信息。加利福尼亚州总检察长办公室 正在努力制作一个统一的退出按钮或标识,供企业使用。

3 - 财务奖励通知

财务奖励通知的目的是向消费者解释企业为保留或出售消费者个人信息而可能提供的每项财务奖励、价格或服务差异,以便消费者在知情的情况下决定是否参与。

财务奖励通知必须包含以下内容

(1) 提供的财务奖励或服务差价的简明摘要;

(2) 价格奖励的重要条款说明,包括财务奖励或价格或服务差异所涉及的个人信息类别;

(3) 消费者如何选择接受经济奖励或价格或服务差异;

(4) 告知消费者有权随时退出财务激励,以及如何行使该权利;以及

(5) 解释为什么财务激励或价格或服务差异是 CCPA 允许的,包括

  • 对消费者数据价值的善意估计,该数据是提供经济激励、价格或服务差异的基础;以及
  • 说明企业计算消费者数据价值的方法。

经济奖励通知必须消费者选择经济奖励、价格或服务差异之前,可在网上或其他实际地点看到。如果企业在线提供经济激励措施,则可通过提供企业隐私政策中包含所需信息部分的链接来发布经济激励措施通知。

[bctt tweet="加州总检察长办公室正在制定统一的 CCPA 退出按钮或徽标,供企业在网站上使用。]

下一个 CCPA 隐私政策

下一篇文章中,我们将讨论符合 CCPA 的隐私政策所要求的大量新的、独特的和非常具体的披露内容。

(剧透提示:没有 "一刀切")。